Será a Internet das Coisas (IoT) imune à LGPD?

É incontestável o potencial de aplicações e soluções que a Internet das Coisas (IoT) traz hoje em diversos setores. Pode-se acompanhar a evolução da tecnologia de forma exponencial, consequentemente as aplicações práticas criadas solucionam problemas e trazem benefícios inconcussos para empresas e pessoas.

Mas o que seria a IoT?

Alguns autores dizem ser uma evolução da Internet. Porém, é interessante ressaltar que a ideia básica da IoT é a fusão de tecnologias como a própria Internet, Cloud Computing, RFID (Radio-Frequency IDentification[1]), ZigBee, inteligência artificial, Machine Learning[2], dentre outras aplicações que visam atender às demandas do mercado em geral.

O termo IoT é atribuído a Kevin Aston, que em 1999 já pensava em colher informações das máquinas, através de sensores e construir soluções mais assertivas. Segundo Aston, “se tivéssemos computadores que soubessem de tudo o que há para saber sobre coisas, usando dados que foram colhidos, sem qualquer interação humana, seríamos capazes de monitorar e mensurar tudo, reduzindo o desperdício, as perdas e o custo. Gostaríamos de saber quando as coisas precisarão de substituição, reparação ou atualização, e se elas estão na vanguarda ou se tornaram obsoletas”.

Esse conceito, com a evolução das tecnologias, ganhou força no mercado, pois vários pesquisadores perceberam que o “simples fato” de colocar sensores que permitem monitorar as “coisas” – entenda aqui coisas como carros, celulares, computadores, geladeiras, televisores, máquinas agrícolas e até mesmo pessoas – trariam informações importantes para desenvolvimento de projetos e soluções inovadoras. (Figura 1)

Com o advento de tecnologia de sensores mais baratos e de menor potência, evolução dos conceitos e técnicas de conectividade (em especial comunicações móveis), plataformas de computação em nuvem (que trazem consigo mobilidade e menores custos de manutenção), tecnologias de análises de dados em massa como Machine Learning, Big Data e inteligência artificial, a IoT ganhou força e se espalhou em projetos pelo mundo.

[1] Identificação por rádio frequência – Tradução nossa

[2] Aprendizado de máquinas – Tradução nossa

Figura 1: Possibilidade de aplicações de IoT

Pode-se, portanto, encontrar IoT hodiernamente em várias áreas, como por exemplo:

Agropecuária: sensores instalados no campo permitem gerar dados precisos sobre temperatura, humidade do solo, velocidade de vento, índice pluviométrico, dentre outros. Podem ainda ser colocados sensores (chip) em animais que auxiliam no rastreamento, controle de vacinas, ganho de peso, dentre outras informações.

 

Figura 2: Chip de controle animal

Fábricas: a IoT tem sido utilizada para conhecer desgaste e produtividade de máquinas, movimentação de mercadoria, etc.

Transporte público: controle da movimentação dos veículos de transporte público (ônibus) com informações em tempo real para os passageiros (até mesmo em seus aparelhos móveis)

Controle de coleta de resíduos (lixo) em grandes cidades: sensores podem enviar informações de quais localidades estão com os locais de coletas quase cheios, o que permite um maior planejamento de coleta por demanda e região.

Lojas e supermercados: as lojas, em conjunto com os fabricantes, podem facilmente monitorar estoques já criando uma logística automatizada de insumos que serão “pedidos” por demanda real. Outra aplicação já muito usada são cartões, pulseiras e relógios que permitem realizar pagamentos de forma simples e ágil, com conectividade a bancos e transações financeiras rápidas.

 

Figura 3: Pulseira para pagamentos instantâneos

Área da saúde: hospitais, clínicas médicas e os profissionais da saúde em geral, podem usar sensores que monitorem sinais vitais de pacientes, evitando assim possíveis problemas de saúde, ou até mesmo criando a possibilidade de prever ou atender de forma rápida, o que salvaria dezenas de vidas pela urgência do atendimento.

Figura 4: Relógio com monitoramento de sinais vitais

 E então você pode estar se perguntando agora: – “Mas e a LGPD (Lei Geral de Proteção de Dados Pessoais), como afeta isso tudo?”

Para responder esta pergunta é preciso destacar alguns pontos vitais da lei. A LGPD possui alguns princípios básicos de fundamental cuidado: proteção à privacidade e transparência.

Vamos entender melhor!

No que tange a proteção à privacidade de dados, a LGPD, assim como GDPR (General Data Protection Regulation) – lei da Comunidade Europeia na qual a LGPD foi inspirada – tem uma preocupação prioritária em evitar invasões de privacidade e utilização de dados de pessoas naturais (físicas), chamadas na LGPD de titulares dos dados, de forma ilegal.

Na busca de melhores resultados operacionais, empresas investem em ferramentas, como as citadas acima (Inteligência artificial, Big Data, Machine Learning), com o objetivo de darem um atendimento e/ou criar soluções (produtos) que se encaixem em perfis predefinidos, fazendo com que o cliente sinta que o produto/serviço foi elaborado de forma personalizada. Porém, como toda tecnologia mal utilizada, as empresas investem em captar clientes que, muitas vezes, não solicitaram e/ou não deram autorização, nem mesmo se cadastraram, para receber ligações, e-mails, propagandas destas empresas. Sentem-se, portanto, invadidos em sua privacidade.

Importante salientar neste momento, para clarear melhor, o que a LGPD define como:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Ao fazer uma conexão com a IoT, nota-se que o simples fato de coletar dados como pulsação cardíaca (ligando esse batimento à um titular), biometria (ex: coleta de impressão digital em portarias, pontos de funcionários), informações de carros ou máquinas que o levem a conhecer o condutor (placa de carro, horário de trabalho, etc.), já é considerado pela lei como tratamento de dados pessoais. Esses fatos, sem que estejam dentro das 10 possibilidades de tratamento de dados da lei (em especial o consentimento do titular) podem levar às empresas (e até mesmo a pessoas físicas) a responderem juridicamente por violação de dados pessoais.

Paralelo a isso, os projetos de IoT, assim como quaisquer outros que contenham dados pessoais, deverão estar preparados para serem transparentes; ou seja, a lei concede aos titulares o direito da autodeterminação informativa. Eles podem, a qualquer momento, desde que façam um pedido expresso, querer saber o que existe da dados (deles) sendo tratados pelas organizações. As ferramentas devem permitir a modificação de dados inexatos, acréscimo de dados inexistentes, exclusão dos dados que estão ali sem o prévio consentimento do titular (desde que não haja amparo legal para tal) e ainda, em caso de uma ocorrência de violação de dados, deve gerar trilhas de auditoria que permitam saber o que aconteceu, quando, por que e quem violou os dados. Essa necessidade deve-se ao fato de os responsáveis serem obrigados a conhecerem estas informações para mitigarem ou resolverem o dano causado aos titulares. Segundo a lei, as infrações serão aplicadas de forma inversamente proporcional ao que foi feito para proteção dos dados.

A LGPD trouxe para o mercado uma preocupação antiga, mas que agora ganha força perante a necessidade legal de compliance: segurança da informação. Os projetos de IoT em especial, no primeiro momento, focavam em coletar os dados e criar soluções com a utilização desses dados coletados. Porém, agora é preciso pensar, com muito critério, em segurança e conhecer a fundo a LGPD, e as demais leis que a complementam como por exemplo: Código Civil, Marco Civil da Internet, Código de defesa do Consumidor e Constituição Federal, sempre seguindo as normas e boas práticas da segurança da informação como a ISO 2000k, ISO 27000, ITIL, COBIT entre outros. Isso permitirá criar soluções, que da mesma maneira atendam às necessidades levantadas, porém sem que haja invasão da privacidade de nenhum cidadão (ou outra infração com incidentes de segurança da Informação), mas também que proteja até mesmo o capital intelectual e/ou o segredo industrial contido em cada solução.

Enfim, é chegada a hora da segurança da informação!

CLASSIFICAÇÃO DESSE DOCUMENTO – PÚBLICO

Elaborador por:

Davis Alves, Ph.D

Presidente da ANPPD

Cláudio Pessoa, P.Phd

Membro do Comitê Científico da ANPPD

 

             Anielle Martinelli, DPO             

   Diretora do Comitê de Conteúdo da ANPPD

Data de publicação:

31 de julho de 2020

 

INTERESSADO EM CONHECER OS PROGRAMAS EXIN LIGADOS AO TEMA DESTE ARTIGO?